Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=endpoint-data-collection-policy

Stratégie Collecte de données et investigation

La stratégie « Collecte de données et investigation » vous permet de téléverser des données depuis vos ordinateurs vers le Sophos Data Lake. Elle vous permet également d’utiliser Live Response pour accéder aux ordinateurs et effectuer des investigations.

Pour consulter et modifier la stratégie, procédez de la manière suivante :

  1. Allez dans Mes produits > Endpoint.
  2. Cliquez sur Stratégies.

  3. Allez dans Collecte de données et investigation et cliquez sur une stratégie pour ouvrir ses détails.

    La stratégie de base s'applique par défaut à tous les appareils. Vous pouvez également avoir des stratégies personnalisées pour des groupes d'appareils que vous spécifiez. Voir À propos des stratégies.

  4. Cliquez sur l’onglet Paramètres.

Ensuite, configurez les paramètres ci-dessous.

Live Response

Pour changer les paramètres de Live Response, vous devez être un super administrateur ou avoir un rôle personnalisé qui inclut Gérer les paramètres Live Response pour les ordinateurs. Voir Donner l’accès à Live Response aux administrateurs.

Autoriser les connexions Live Response aux ordinateurs : Ce paramètre vous permet de vous connecter directement aux appareils à analyser et à résoudre les éventuels problèmes de sécurité.

Vous pouvez utiliser Live Response pour interrompre les processus suspects, redémarrer les appareils avec des mises à jour en attente, parcourir des dossiers, supprimer des fichiers, etc.

Live Response est activé par défaut si vous avez Sophos MDR. Sinon, elle sera désactivée par défaut.

Retrouvez plus de renseignements sur l’utilisation de Live Response sur Configurer et démarrer Live Response.

Si vous activez Live Response mais que vous souhaitez bloquer l’accès aux ordinateurs sensibles, placez-les dans un groupe et appliquez une stratégie avec Live Response désactivé.

Exclusions de Live Response héritées

Si vous avez défini des exclusions de Live Response avant l’introduction des stratégies de collecte de données et d’investigation, les ordinateurs exclus seront automatiquement déplacés vers des stratégies personnalisées avec Live Response désactivé.

Téléversements vers le Data Lake

Pour changer les paramètres de téléversement des données, vous devez être un super administrateur ou avoir un rôle personnalisé qui inclut « Gérer les paramètres de collecte de données et d’investigation pour les serveurs pour les ordinateurs ». Voir Ajouter un rôle personnalisé.

Téléverser vers le Data Lake : Ce paramètre permet aux ordinateurs de téléverser des données de sécurité vers le Sophos Data Lake. Vous pouvez interroger ces données avec Live Discover ou notre assistant IA.

Les téléversements vers le Data Lake sont activés par défaut.

Si vous souhaitez empêcher certains appareils de téléverser des données, placez-les dans un groupe et appliquez une stratégie avec les téléversements vers le Data Lake désactivés.

Exclusions de téléversements héritées

Si vous avez défini des exclusions de téléversement vers le Data Lake avant l’introduction des stratégies de collecte et d’investigation des données, les ordinateurs exclus seront automatiquement déplacés vers des stratégies personnalisées avec les téléversements vers le Data Lake désactivés.

Note

Si vous disposez d’un environnement de grande taille, vous constaterez peut-être une augmentation soudaine du trafic réseau lorsque les téléversements vers le Data Lake seront activés.

Note

Vous pouvez ajouter des données provenant d'autres produits Sophos et de produits tiers à notre Data Lake. Pour une liste, voir Produits.

Exclusions

Vous pouvez ajouter une exclusion de collecte d’événements. La collecte des événements pour les journaux Sophos et Data Lake est interrompue, ce qui peut avoir un impact sur les performances.

Flux de travail intégré

Veuillez uniquement utiliser ce type d’exclusion si le support Sophos vous le demande.

Warning

L’ajout d'exclusions réduit votre protection contre les failles de sécurité.

Pour obtenir de l’aide sur l’utilisation des exclusions, consultez Utilisation des exclusions en toute sécurité.

Restriction

La collecte d’événements n’est pas disponible dans les exclusions globales.

Pour créer une exclusion du contrôle de la collecte d’événements, procédez comme suit :

  1. Cliquez sur Ajouter des exclusions.

  2. Dans la boîte de dialogue Ajouter une exclusion, procédez comme suit :

    1. Sélectionnez le type d’élément à exclure.

      • Fichier/dossier : Vous pouvez exclure un fichier ou un dossier. Vous pouvez utiliser des caractères de remplacement. Pour des exemples de caractères génériques, voir Exemple de caractères de remplacement.
      • Procédure : Vous pouvez exclure tous les processus exécutés à partir d’une application. Retrouvez plus de renseignements sur les exclusions de processus sur Exclusions de processus (Windows).

    2. Dans Valeur, indiquez les éléments que vous souhaitez exclure.

    3. Cliquez sur Ajouter ou Ajouter un autre pour des exclusions supplémentaires.

  3. Cliquez sur Enregistrer.